Naissance des doctrines de sûreté (1954-1967)

4.1.2.1 Considérations de sûreté lors du développement des premières centrales Les agences telles que l’AEC, le CEA et la UK AEA avaient, en marge de leur mission principale de promotion de la technologie nucléaire, également la charge d’en contrôler les dangers. Aux États- Unis, l’AEC mit ainsi en place dès 1947 le Reactor Safeguards Committee (RSC), constitué de scientifiques renommés, afin de la conseiller au sujet de la sûreté des centrales nucléaires.

À partir du début des années 1950, des doctrines de sûreté sont venues progressivement s’ajou- ter aux simples pratiques d’ingénierie mises en œuvre au cours de la décennie précédente dans la construction et le fonctionnement des réacteurs militaires ou de recherche. La tâche des premiers régulateurs de la sûreté était redoutable, puisqu’aucune technologie ne s’était jusqu’à lors dévelop- pée aussi vite et n’avait représenté autant de promesses et de dangers à la fois. Les intéressés, qui étaient souvent des scientifiques engagés dans le développement des premiers réacteurs, étaient bien sûr conscients de ces dangers, comme en témoigne l’extrait suivant d’une lettre d’Edward Teller, père de la bombe H américaine, premier président du RCS et pionnier de la sûreté nucléaire, au président du comité mixte du Congrès :

"nuclear plants contain radioactive poisons. In a nuclear accident, these poisons may be liberated into the atmosphere or into the water supply. In fact, the radioactive poisons produced in a powerful nuclear reactor will retain a dangerous concentration even after they have been carried downwind to a distance of ten miles. Some danger might possibly persist to distances as great as 100 miles" (Teller, 1953).

Ces spécialistes semblaient cependant très confiants dans leur capacité à contrôler ces dangers. Dans la même lettre, Teller déclarait ainsi :

"The main factors which influence reactor safety are, in my opinion, reasonably well understood. There have been in the past a few minor incidents, all of which have been caused by neglect of clearly formulated safety rules. Such occasional accidents cannot be avoided. It is rather remarkable that they have occurred in such a small number of instances. I want to emphasize in particular that the operation of nuclear reactors is not mysterious and that the irregularities are no more unexpected than accidents which happen on account of disregard of traffic regulations"(Teller, 1953).

De même, on pouvait lire dans le premier rapport de la UK AEA en 1954 :

"The first important thing to recognise is that it is impossible for an ’atomic explosion’ to take place in a power reactor. If nuclear power facilities are properly designed any accidents that may occur will be no more dangerous than accidents in other industries. [...] The reactors that will be built for the commercial production of electricity will

present no more danger for people living nearby than many existing industrial works that are sited within built-up areas. Nevertheless the first stations, even though they will be of inherently safe design, will not be built in heavily built-up areas" (cité par Foasso (2003, p. 103)).

En France, quelques années plus tard, le premier Cours de Génie Atomique élaboré au CEA pro- fessait :

« Les installations atomiques posent des problèmes de sûreté qui sont dans leur ensemble du même ordre de grandeur que ceux posés par certaines installations classiques. C’est ainsi que l’explosion dans un grand port d’un navire chargé de munitions ou d’essence, ou l’incendie d’un dépôt de gaz asphyxiants au milieu d’une ville, peuvent entraîner autant de morts, de maladies incurables ou de dégâts matériels qu’un grave incident nu- cléaire sur un navire ou une centrale atomique. Cependant, certains facteurs conduisent à attacher à la sûreté en matière atomique une importance encore plus grande qu’en matière classique : [...] les répercussions psychologiques d’accidents nucléaires peuvent être plus grandes étant donné la sensibilité des opinions publiques en ce domaine » (De Valthaire, 1960).

D’un point de vue actuel, l’analogie entre une technologie aussi complexe que celle des réacteurs nucléaires, pour laquelle on ne disposait alors d’aucun recul historique et d’autres issues de la révo- lution industrielle, totalement maîtrisées et étudiées depuis des décennies sur le plan statistique7

est surprenante. Elle semble témoigner d’une confiance excessive dans la compréhension de la sû- reté des réacteurs et d’une représentation assez naïve des interactions entre homme et machine. En revanche, l’importance accordée aux aspects psychologiques et aux réactions de l’opinion publique peuvent paraître surprenantes d’actualité.

L’éclairage historique privilégie cependant une tout autre interprétation de ces déclarations (Foasso, 2003, pp. 78 et suivantes). La préoccupation des opinions publiques occidentales en matière nucléaire ne se portait alors pas vers les centrales, mais vers l’arme atomique. Or, comme nous l’avons vu, la technologie nucléaire civile avait été dérivée des usages militaires, et lui était encore étroitement associée. Les scientifiques appelés à conseiller les autorités publiques en matière de sûreté étaient alors partagés entre deux objectifs : d’une part, de contribuer au développement de l’énergie nucléaire civile en démystifiant son usage, et notamment en luttant contre son association, dans l’esprit du public, à la bombe atomique ; d’autre part d’imposer une approche rigoureuse de la sûreté nucléaire, quitte à retarder pour cela le développement industriel. La thèse selon laquelle il était à la fois possible et nécessaire de garantir la sûreté des centrales nucléaires (à quelques

7. À titre d’exemple, les premières statistiques fédérales d’accidents de la route ont été collectées aux États-Unis au cours des années 1910 (Eastman, 1984).

incidents mineurs près, tous dus à la négligence des hommes) permettait de ménager ces deux objectifs.

Pour protéger les populations, les premières préférences des scientifiques américains s’inscrivaient dans la droite ligne du projet Manhattan, dont le principe central de sûreté était d’éloigner les sites nucléaires, qui n’étaient alors pas confinés, des zones densément habitées. En 1950, le RSC édicta une première règle de sûreté en ce sens concernant le choix des sites devant accueillir des centrales nucléaires de puissance. La règle définissait le rayon d’une zone d’exclusion autour d’une centrale en fonction de la puissance thermique de celle-ci.

La conception restrictive des scientifiques ne convenait cependant pas aux responsables indus- triels car elle limitait le choix de sites adaptés, imposait l’achat de surfaces considérables de terrain et supposait aussi la construction d’importantes lignes électriques dans l’hypothèse de construction de centrales civiles. En 1951, l’AEC se dota d’un second comité d’experts, cette fois provenant en large part de l’industrie et traitant spécifiquement du problème des sites, l’Industrial Committee on Reactor Location Problems. Deux ans plus tard, les deux comités fusionnèrent au sein de l’Advisory Committee on Reactor Safeguards (ACRS), placé sous la direction C. Rogers McCullough. McCul- lough était un ingénieur ayant mené une grande partie de sa carrière au sein de la firme Monsanto. Tout en assurant la présidence de l’ACRS, il fut successivement employé par Monsanto, puis par l’AEC elle-même et de nouveau par Monsanto entre 1953 et 1957, fournissant ainsi un exemple pré- coce des relations délicates entre agences réglementaires, entreprises privées et experts8

(Balogh, 1991, p.132).

Il faut noter que les responsables industriels étaient également nombreux à considérer qu’en raison de l’analogie avec la bombe atomique, les premières phases du développement de l’industrie nucléaire seraient particulièrement sensibles ; c’est d’ailleurs probablement l’un des facteurs qui expliquaient leur réserve. Dans des conditions où un accident important pouvait constituer un faux pas fatal, un niveau élevé de sûreté devait non seulement être conciliable avec leurs objectifs écono- miques, mais même en faire partie. Dans les termes de la théorie économique, les coûts sociaux d’un accident étaient donc, au moins en partie, internalisés durant cette phase sensible de décollage de la technologie. La divergence des industriels avec les scientifiques portait sur les moyens à mettre en œuvre pour la sûreté des centrales. L’alternative qu’ils préconisaient à l’éloignement était le confinement : entourer les réacteurs d’un bâtiment étanche et résistant à la pression qui permet- trait de retenir les gaz radioactifs émis par un éventuel accident. Selon la communication de deux ingénieurs de la General Electric Company à la première conférence de Genève, la présence d’une telle enceinte et de dispositifs supplémentaires de protection permettrait de rendre les centrales « intrinsèquement sûres » (Parker et Healey, 1955).

La nouvelle loi de 1954 clarifia les responsabilités de l’AEC en matière de sûreté, qui continuaient à coexister avec les objectifs de développement des usages à la fois civils et militaires de l’énergie nucléaire : la Commission devait veiller à avoir une assurance raisonnable que les applications industrielles n’engendreraient pas de risque indu pour la santé et la sécurité de la population.

Dans les deux années qui suivirent, le premier réel débat sur la sûreté des centrales divisa la communauté nucléaire américaine. Il portait sur l’arbitrage souhaitable entre l’importance de la zone d’exclusion autour d’une centrale et les dispositifs de sûreté dont elle était équipée (notamment l’enceinte de confinement). La bataille fut gagnée par les partisans des dispositifs de sûreté et en 1956, l’AEC décida d’un assouplissement de ses règles de localisation alors même que la puissance des centrales en conception s’accroissait de façon marquée.

La loi de 1954 avait également défini les étapes de la procédure d’obtention d’une licence de construction et d’exploitation de centrale nucléaire, qui comprenaient notamment la réalisation d’un rapport préliminaire des dangers (preliminary hazards summary report). Pour les opérateurs privés, il s’agissait désormais de démontrer qu’ils avaient pris des dispositions suffisantes pour garantir la sûreté de leur centrale, même si le régulateur ne disposait pas encore pour cela d’une doctrine formelle transcrite sous forme de principes, de normes et de mesures.

4.1.2.2 La lente marche vers la quantification de l’incertitude

Dans un article présenté à la première conférence de Genève en 1955, trois membres de l’ACRS faisaient une synthèse de la doctrine du Comité en matière de sûreté. Cet article évoquait déjà les trois fonctions de sûreté décrits au chapitre précédent (la sous-criticité, le refroidissement et le confinement), faisait la preuve d’une parfaite compréhension des conséquences catastrophiques d’un accident majeur et proposait une définition de la sûreté où pointait déjà la notion de risque résiduel acceptable : « ce que l’on entend par sûreté du réacteur, c’est le fait de réduire ces dangers à un risque calculé et acceptable aussi minime que possible » (McCullough, Mills et Teller (1955) cités par Foasso (2003, p.81)).

Mais quel était ce risque ? L’étude WASH-740 publiée par l’AEC en 1957 tentait pour la première fois d’évaluer les conséquences maximales d’un accident nucléaire en se plaçant sous l’hypothèse que les dispositifs de sûreté avaient failli. En considérant un réacteur d’environ 150 MWe situé à 30 kilomètres d’une ville d’un million d’habitants, et un accident où la moitié des produits de fission présents dans le cœur en fin de cycle du combustible seraient dispersés, elle évaluait les dommages à 3 400 morts, 40 000 personnes contaminées, 400 000 km2_{de terres agricoles contaminées et un coût}

total de 7 milliards de dollars de l’époque. L’étude s’ouvrait par un chapitre sur la probabilité d’un tel accident, pour exclure en termes définitifs la possibilité de la connaître, tout en énumérant avec une remarquable prescience les trois méthodes qui permettraient au moins, vingt ans plus tard, son

évaluation :

"The probability of occurrence of publicly hazardous accidents in nuclear power reactor plants is exceedingly low. [...] One fact must be stated at the outset : no-one knows or will ever know the exact magnitude of this low probability of a publicly hazardous reactor accident. In trying to establish some estimation of this quantity, three possible approaches might be used :

1. Operate enough reactors for a sufficient length of time to obtain an indication of the accident probability.

2. Give careful consideration and approximate numerical values to all separate factors which would either prevent or cause such an accident, then try to calculate, or guess, the composite result of these factors and hence the likelihood of occurrence of accidents. 3. Obtain a weighted average of the best judgements and judicious opinions of the most experienced and knowledgeable experts in the field" (AEC, 1957, p.3).

L’étude estimait ces pistes impraticables car trop incertaines, mais les explorait malgré tout, certes pas de façon approfondie mais assez pour citer, à titre d’exemple, des probabilités subjectives attribuées par des experts à différents scénarios accidentels. Concernant un accident majeur avec rejets massifs de substances radioactives, ces probabilités étaient comprises entre 10−5 _{et 10}−9

par réacteur et par an, et l’étude proposait même un calcul en espérance sur la base de la borne supérieure de cet intervalle : le résultat était de trois personnes tuées en moyenne par an par de tels accidents dans le pays, que l’étude comparait aux 40 000 victimes des accidents de la circulation. L’étude estimait ensuite que l’objectif ultime des évaluations de sûreté n’était pas de calculer les probabilités d’accident, mais de s’assurer que ces probabilités étaient extrêmement faibles. Le chapitre se terminait sur ces mots :

"Thus, since there is protection against ’credible’ accidents, no damages to the public will occur unless ’incredible’ accidents take place. It must be recognized, of course, that errors in judgement can be committed, with resulting occurrence of what was believed to be an "incredible" accident. Nevertheless, the consistent and rigorous execution of these procedures for every reactor warrants a considerable degree of confidence that safeguards against serious accidents have been incorporated, and that the probabilities of such occurrences are small" (AEC, 1957, p.6, nous soulignons).

L’étude WASH-740 constituait une analyse remarquable par sa relative objectivité et par l’étendue des phénomènes examinés. Toutefois, comme le montrent ces extraits, elle annonçait déjà l’inconfort de la position de analystes de sûreté face à la notion de probabilité et préfigurait le « cadre de la probabilité de fréquence » (voir la sous-section 3.4.2.2) : la probabilité d’un accident est ici considé- rée comme une grandeur objective qu’il est impossible de connaître, mais éventuellement possible

d’estimer ; pour cela, on peut s’en remettre à des croyances d’experts, c’est-à-dire des probabilités subjectives ; mais l’incertitude du résultat (c’est-à-dire, en l’espèce, les écarts entre probabilités subjectives) rend son utilisation délicate ; on attribue finalement une probabilité subjective élevée (un degré de confiance considérable, sans plus de précision) au fait que la probabilité objective d’accident est petite.

L’argument de WASH-740 à propos de la faiblesse très probable de la probabilité d’accident ne permit pas de compenser l’impact des conséquences catastrophiques que décrivait l’étude, et sa publication conduisit à une série de réactions très négatives. L’AEC tenta de les circonscrire rapidement, tout en prolongeant le raisonnement amorcé dans WASH-740, à travers le concept d’Accident maximum crédible (AMC). L’AMC constituait l’événement le moins vraisemblable et le plus grave auquel on estimait devoir se préparer. Pour l’obtenir, on devait commencer par passer en revue tous les scénarios d’accident que l’on parvenait à identifier pour une installation, puis écarter ceux qui semblaient tout à fait improbables selon le jugement subjectif d’experts. Il n’était plus nécessaire de considérer l’éventualité de ces accidents possibles mais « incroyables » et de chercher à prévoir leurs conséquences.

Le concept d’AMC a joué un rôle fondamental dans la constitution de l’approche déterministe de la sûreté en fournissant un ancrage à l’activité naissante de contrôle et de régulation. Les in- dustriels étaient désormais vigoureusement engagés dans le développement de l’énergie nucléaire, et exigeaient de disposer de normes sur lesquelles s’appuyer9

. L’AEC, pour sa part, avait besoin de concepts opérationnels qui puissent être appliqués de façon uniforme aux différents types de centrales à l’étude. En 1958, un article de représentants de l’AEC à la deuxième conférence inter- nationale de Genève décrivait les premiers éléments d’une doctrine où étaient énoncés certains des principes futurs de l’approche déterministe, et où l’AMC jouait un rôle fondamental (Beck, Mann et Morris, 1958) :

– la nécessité de vérifier la qualité non seulement de conception, mais aussi de réalisation et de conduite de l’installation ;

– l’intégration de systèmes de protection mutuellement indépendants (notamment différents confinements de la matière radioactive) ;

– enfin, en se plaçant sous l’hypothèse de l’accident maximal, la garantie que ses conséquences (en termes de doses reçues par une personne située à l’extérieur de la centrale) ne dépasseraient pas une certaine limite considérée acceptable.

Dans une autre contribution présentée à la même conférence, Farmer et deux de ses collègues de la UK AEA présentèrent cependant les prémisses d’une approche alternative (Farmer, Fletcher et Fry,

9. Selon les mots de François Cogné, spécialiste français de la sûreté et directeur de l’Institut de Protection et de Sûreté Nucléaire : « Devant la montée des demandes des spécialistes de la sûreté, les concepteurs et les réalisateurs, telles des grenouilles qui demandent un roi, ont été les premiers à demander de figer les règles, de "baliser le champ de mines" ; ils ont été servis, tout particulièrement aux États-Unis » (Cogné, 1984, p.21).

1958). L’objectif, dans leur esprit, était de « réduire les risques jusqu’à un niveau de probabilité assez bas pour être socialement et économiquement acceptable ». Il fallait donc s’intéresser au risque, ce qui excluait de sélectionner les événements sur la base de leur seule probabilité comme le supposait la méthode de l’AMC. Pour cela, il fallait se donner un modèle théorique de l’installation, fondée sur l’analyse conceptuelle des défaillances et sur les probabilités. Cette représentation devrait être validée ou amendée sur la base de l’expérience d’exploitation des centrales, et l’on pourrait notamment extrapoler la probabilité des défaillances importantes et rares à partir de l’observation de dysfonctionnements et d’erreurs mineures et plus fréquentes. Ceci supposait que soit créé un système de classification des événements importants pour la sûreté et que les données correspondantes soient recueillies dans toutes les centrales en fonctionnement. Les britanniques ont été les premiers à mettre effectivement sur pied un tel système en 1959. Outre qu’elle posait ainsi les fondements de l’approche probabiliste, la contribution de Farmer, Fletcher et Fry comportait un certain nombre de propositions qui firent date :

– définir un domaine de fonctionnement sûr et équiper le réacteur de systèmes de contrôle et d’instrumentation qui le ramènent à l’intérieur de ce domaine à chaque fois qu’il en sort ; – agir à la fois sur la probabilité des accidents, définis par une excursion du réacteur hors de

son domaine de fonctionnement sûr, et sur leurs conséquences pour le réacteur et pour les hommes ;

– concevoir l’enveloppe du combustible et celle du fluide réfrigérant comme deux barrières étanches successives empêchant la dispersion des radionucléides ;

– préférer au principe de sûreté intrinsèque, qui suppose une très grande fiabilité des systèmes de contrôle et de protection, celui de redondance.

On peut distinguer là des aspects importants de ce qui sera progressivement formalisé comme la méthode de la défense en profondeur : le premier niveau de la défense, les principes de prévention et de maîtrise, la méthode des barrières formalisée par la suite par les analystes français, et enfin le principe de défaillance unique.

Malgré cette critique en creux du concept d’AMC, celui-ci s’imposa durant les années 1958- 1967 comme le fondement des normes de sûreté, particulièrement aux États-Unis. Farmer reprit l’attaque en 1964, lors de la troisième conférence internationale de Genève, puis lors d’un colloque sur la sûreté des réacteurs organisé en 1967 par l’Agence Internationale de l’Énergie Atomique, cette fois de façon plus frontale :

’There is no logical way of differentiating between "credible" and "incredible" acci-